PHP输入验证安全漏洞预警

Posted 深信服千里目安全实验室

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP输入验证安全漏洞预警相关的知识,希望对你有一定的参考价值。

近日,php官方发布PHP中存在一个重要漏洞:  CVE-2018-10547

 

千里百科

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是一种通用的开源脚本语言,语法吸收了C语言、Java和Perl的特点。PHP的应用范围相当广泛,尤其是在网页程序的开发上。一般来说PHP大多运行在网页服务器上,通过运行PHP代码来产生用户浏览的网页。PHP可以在多数的服务器和操作系统上运行。

 

漏洞描述

CVE-2018-10547漏洞:由于php对于CVE-2018-5712的修补并不全面,phar_do_404()

下图是补丁对比


 

影响版本

PHP 5.6.36之前的版本,7.0.30之前的7.0.x版本,7.1.17之前的7.1.x版本,7.2.5之前的7.2.x版本。

 

修复建议

建议使用如下措施避免本次漏洞影响:

使用PHP5.6的用户建议更新到5.6.36,

使用PHP7.0的用户建议更新到7.0.30,

使用PHP7.1的用户建议更新到7.1.17,

使用PHP7.2的用户建议更新到7.2.5。

 

参考链接

CVE链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10547

官方链接:

https://bugs.php.net/bug.php?id=74782

 

深信服解决方案

深信服安全团队第一时间关注此漏洞问题动向:

经过漏洞分析,确定此漏洞为反射型xss跨站脚本攻击漏洞。深信服下一代防火墙可轻松防御此漏洞,建议部署深信服下一代防火墙的用户开启WAF模块,可轻松抵御此高危风险。

 

信服君总结

本次发现的php漏洞,影响范围广泛,由于国内使用php进行web开发的用户较多,所以,很多用户可能会受到该漏洞的影响,建议大家尽快升级到php最新版本,以防止因为此漏洞而造成损失。




以上是关于PHP输入验证安全漏洞预警的主要内容,如果未能解决你的问题,请参考以下文章

漏洞预警PHP XSS漏洞(CVE-2018-10547)

漏洞预警:PHP 7的反序列化机制存在致命安全漏洞

漏洞预警Solr 远程代码执行漏洞

预警Zabbix SQL注入漏洞 威胁预警通告

预警通报关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报

安全预警wordpress插件social warfare存在xss及远程代码执行漏洞